Супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *[email protected]_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\machineupper32 .exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe ','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).
Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет внешний 'Document viewer' disk.
Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) resident_63, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5962286423536266666.tmp','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5962286423536266666.tmp','32');
DeleteFile('C:\WINDOWS\Tasks\zdf0mbe77.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Машина постоянно зависала после запуска Malwarebytes Antimalware, вот лог. Ещё один момент-когда запускал с USB драйва avz4, на нём была папка с фотографиями, о которых тогда забыл. Сейчас вижу, что часть файлов в ней (jpeg) осталась незакодированной, большая часть зашифрована. Сделаны они были в одно время одним фотоаппаратом. Выложить оба (закодированный и неизменённый)?
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MBAR1W1T\312[1].html', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP890\A0391920.exe', 'MBAM: Trojan.FileLock');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обнаруженные ключи в реестре: 7
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: YOUR-E4ACB65A33_000105A8 -> Действие не было предпринято.
Обнаруженные папки: 2
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.
Обнаруженные файлы: 21
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyIE.dll.vir (PUP.DealPly) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyUpdate.exe.vir (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyUpdateRun.exe.vir (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temp\is40051056\dp.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MBAR1W1T\312[1].html (Trojan.FileLock) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP890\A0391920.exe (Trojan.FileLock) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393002.dll (PUP.DealPly) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393004.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393005.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Что делать в первую очередь-запускать скрипт в avz или удалять в МВАМ записи? Как понимаю, сейчас происходит очистка компьютера от последствий трояна, дешифровать скорее всего не получится?
Карантин загрузил. Запустил МВАМ сканер опять, чтоб удалить указанные выше записи (т.к. сначала пришлось выполнить скрипт в avz). Компьютер сам не перезагрузился, вручную ребутнул.
- - - Добавлено - - -
После всех вышеназванных действий после перезагрузки имеем такую же обоину с требованием выкупа sos на [email protected] и процесс поиска AiOSoftwareNPI.msi, а затем Documentviewer.msi....
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: